Kína állhat a kritikus iOS exploitokat kihasználó weblapok mögött
A két éve tartó támadáskampány az iOS sérülékenységek kihasználásán túl Android és Windows platformokat is célba vett, és az ügyhöz közel álló források szerint a kínai ujgur közösség megfigyelését célozta.
Célzott támadáskampányhoz vetették be a Google Project Zero csapata által nemrég felfedezett iOS exploit láncokat - számolt be nevük elhallgatását kérő forrásaira hivatkozva a TechCrunch és a Forbes. A lapok szerint az akció mögött kínai kormányzati szervek állnak, amelyek az ujgur muszlim közösség tagjait figyelték meg a módszerrel, ráadásul az iOS mellett Android és Windows platformon is alkalmaztak hasonló eljárásokat.
A Google a napokban számolt be a súlyos sebezhetőségekről, amelyeket a Project Zero TAG (Threat Analysis Group) csoportja fedezett fel - a sérülékenységeket a bejelentéskor ismeretlen támadók rosszindulatú weboldalakon már jó ideje aktívan kihasználták, az iOS-t futtató eszközök felhasználói ellen. Az újonnan felfedezett iOS zero-day sebezhetőségeknek hála elég volt egyszerűen ellátogatni a támadók által preparált weblapra, hogy azok szerverei egy megfigyelő komponenst ágyazhassanak a gyanútlan felhasználó készülékére. A Google szerint a szóban forgó kártékony weboldalak heti több ezres látogatószámot tudhattak magukénak.
A TAG összesen öt különálló iOS-es exploit láncot talált, amelyekkel az elkövetők iOS 10-től a legfrissebb iOS 12 kiadásig minden rendszerverziót ostrom alá vettek. A kiterjedt elérés arra utal, hogy a rosszindulatú oldalak üzemeltetői már legalább két éve aktívan folytatták tevékenységüket, a felületeket mindig az új verziók sérülékenységeinek kihasználásához is folyamatosan igazítva. Az exploit láncok a szakértők szerint összesen tizennégy sebezhetőséget tartalmaztak, ebből hét a Safari böngészőben, öt az iOS kernelében gyökerezett, illetve két önálló, a biztonsági sandboxok elhagyását lehetővé tevő hibát is használtak a támadók. Az első elemzések szerint legalább az egyik, jogosultságemelés előtt utat nyitó lánc még zero-day sebezhetőségnek számított, és felfedezésekor sem volt hozzá semmilyen patch.
A sérülékenységek láncolatait kihasználva az elkövetők root jogosultságokat szerezhettek a készülékeken, ami egyebek mellett a tárolt érzékeny adatok, jelszavak megszerzésére, és további kártékony appok telepítésére is lehetőséget adott nekik. A Project Zero elemzése szerint a támadók az ismert esetekben leginkább a felhasználók fényképeinek és üzeneteinek begyűjtésére, valamint földrajzi pozíciójuk követésére használták az exploit láncokat - közel valós időben.
A problémát a Google rögtön jelezte az Apple felé, a foltozatlan hibák esetében pedig azok súlyosságára való tekintettel a megszokottnál jóval rövidebb, hét napos javítási határidőt adott azok javítására. A cupertinói cég ezeket tempósan orvosolta is a február 7-én kiadott iOS 12.1.4-es soron kívüli frissítéssel. Ezzel együtt a kutatók nem tartják kizártnak, hogy az elkövetők más rosszindulatú kampányokat is folytatnak az iOS-es eszközöket célozva. Az ismert öt exploit lánc részletes elemzését a vállalat kapcsolódó blogposztjában is közzétette. A fentiek fényében egyáltalán nem csoda, hogy az Apple nemrég maga is elérkezettnek látta ráncba szedni bugvadász programját, amelyben a jutalmakat is megemelte.
Éveken át tartó, célzott támadáskampány
A Techcrunch birtokába jutott információk szerint a kritikus sebezhetőségekkel az érintett weboldalak célzottan az ujgur muszlimokat vették célba Hszincsiang tartományban - az akció hátterében pedig kínai kormányzati szervek állnak. Az értesüléseket a Forbes is megerősítette, hozzátéve, hogy a támadások nem korlátozódtak az Apple platformjára, azok androidos telefonokat és Windowst futtató PC-ket is célba vettek, ráadásul ugyanazokon a rosszindulatú weboldalakon keresztül.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
A lapok forrásai a windowsos és androidos sebezhetőségek technikai részleteire nem tértek ki, így egyelőre az sem ismert, azok pontosan milyen mértékben engedtek hozzáférést a támadóknak a rendszerekhez. Azt viszont a névtelenül nyilatkozó források megerősítették, hogy a támadás a Google által véltnél jóval kiterjedtebb volt, és kifejezetten az ujgur közösséget vette célba. Az új fejleményekkel kapcsolatban, beleértve a saját platformját célzó támadásokat is, a Google egyelőre nem nyilatkozott, noha a források szerint a rosszindulatú oldalak vizsgálatakor a keresőóriás csak az iOS sérülékenységek kiszolgálására utaló jeleket talált.
A Forbesnak nyilatkozva a Microsoft is arról beszélt, a Google Project Zero kifejezetten iOS exploitokat talált az oldalakat elemezve, a redmondi cég felé nem jelzett semmilyen, a Windowst érintő hibát - a vállalat mindenesetre maga is vizsgálatot indított az ügyben. Azt egyelőre egyik érintett fél sem árulta el, hogy pontosan melyek a szóban forgó kártékony webolalak. Jelen állás szerint tehát jó eséllyel, egy az ujgur közösséget célzó tömeges megfigyelési kampányról van szó, mintegy "nem hivatalos kiegészítésként" a régióban nagy számban telepített, arcfelismeréssel is szerelt térfigyelő kamerák mellé. Az EFF szakértője, Cooper Quintin szerint az akció ráadásul nem csak a Hszincsiang tartománybeli, de a diaszpórában élő ujgurokra is kiterjedt.